探索EventViewerUAC_BOF:创新的Windows UAC绕过方案
当你需要在Windows系统中执行高权限操作时,用户账户控制(User Account Control, 简称UAC)会成为一道难以逾越的障碍。然而,一个名为EventViewerUAC_BOF的开源项目提供了一个巧妙的方式来规避这一限制。由安全研究者@orange_8361发现并由(CsEnox)[https://github.com/CsEnox/EventViewer-UACBypass]实现的技术,现在已被封装为Beacon Object File,这个工具无疑为渗透测试和安全研究领域带来了新的可能性。
项目介绍
EventViewerUAC_BOF是一个针对x64架构Windows 10和11系统的本地UAC绕过工具。它利用了Microsoft管理控制台(mmc.exe)与事件查看器的交互漏洞,通过编写和执行二进制文件来实现高权限命令的执行,而无需用户明确批准。
技术分析
项目的核心在于ysoserial工具生成的序列化payload,它能够启动cmd.exe
并执行一系列命令,包括关闭 mmc.exe 的任务以隐藏活动。在 payload 中,用户可以自定义要执行的命令,例如注入Cobalt Strike或者其他命令行指令。关键的一点是,payload中的长度字节基于base-128编码,这使得payload能够动态适应不同长度的命令。
应用场景
在渗透测试和红队操作中,这个工具尤其有用。比如,当需要在目标系统上低调地执行管理员级别的命令而不需要用户交互时,EventViewerUAC_BOF提供了理想的解决方案。此外,对于安全研究员来说,它是一个很好的学习平台,可以帮助理解Windows UAC的工作原理以及如何找到并利用潜在的安全漏洞。
项目特点
- 低痕迹操作:除了短暂打开的事件查看器窗口,操作过程几乎不留明显痕迹。
- 灵活性:支持自定义命令执行,包括powershell编码命令。
- 易用性:只需要编译并运行即可,无需深入了解序列化或 ysoserial 工具。
- 创新性:利用了微软系统内部行为,展示了UAC绕过的另一种可能。
为了开始使用EventViewerUAC_BOF,只需按readme指示进行编译,然后根据你的需求定制payload,就可以享受到这种无痕的高级别访问方式。
总的来说,EventViewerUAC_BOF是一个强大的工具,它揭示了Windows安全性的新一面。无论你是想要增强你的渗透测试技能,还是寻找一种在安全环境下执行高权限操作的方法,这个项目都值得一试。但是请注意,任何对UAC的绕过都应该在合法和合规的前提下进行。